Descoberta e Escopo
Uma vulnerabilidade de Cross-Site Scripting (XSS) de alta severidade foi descoberta no framework Angular amplamente utilizado. Rastreada como CVE-2026-32635 e categorizada sob CWE-79, esta falha afeta tanto os pacotes @angular/compiler quanto @angular/core.
A vulnerabilidade decorre de como o Angular lida com internacionalização (i18n) para atributos HTML sensíveis à segurança. Por padrão, o Angular fornece um mecanismo robusto de sanitização, mas essa proteção crítica é contornada quando um aplicativo habilita internacionalização para um atributo sensível.
Impacto e Exploração
Se um desenvolvedor vincular dados não confiáveis gerados pelo usuário a esse atributo localizado, um atacante pode injetar scripts maliciosos. A vinculação i18n inadvertidamente força o framework a pular suas verificações de segurança padrão.
Os atributos comumente visados incluem href, src, action, formaction e data. A exploração leva a consequências graves como roubo de cookies de sessão, exfiltração de dados e execução de ações não autorizadas.
Versões Afetadas e Correção
O desenvolvimento do Angular lançou atualizações de segurança para múltiplas trilhas de release. As versões afetadas incluem:
- 22.0.0-next.0 até abaixo de 22.0.0-next.3 (corrigido em 22.0.0-next.3);
- 21.0.0-next.0 até 21.2.4 (corrigido em 21.2.4);
- 20.0.0-next.0 até 20.3.18 (corrigido em 20.3.18);
- 19.0.0-next.0 até 19.2.20 (corrigido em 19.2.20).
Equipes de desenvolvimento devem garantir que dados vinculados a atributos vulneráveis nunca se originem de fontes não confiáveis, como consultas de banco de dados ou respostas de API.